服务概述
帮助航司从安全角度对应用系统的所有逻辑路径进行测试,通过分析源代码,充分挖掘代码中存在的安全缺陷以及规范性缺陷。找到普通安全测试所无法发现的如二次注入、反序列化、xml实体注入等安全漏洞。
01服务优势
安全团队获得民航全国CTF比赛优胜奖,个人金牌员工称号,丰富的民航业安全项目及编码经验。检查类别涉及27大类,177个检查项,交付完善的报告,全程项目管控,交付体贴周到。
02 服务内容
1
系统所用开源框架
包含java反序列化漏洞,导致远程代码执行。Spring、Struts2的相关安全。
2
应用代码关注要素
日志伪造漏洞,密码明文存储,资源管理,调试程序残留,二次注入,反序列化。
3
API滥用
不安全的数据库调用、随机数创建、内存管理调用、字符串操作,危险的系统方法调用。
4
系统所用开源框架
包含java反序列化漏洞,导致远程代码执行。Spring、Struts2的相关安全。
5
应用代码关注要素
日志伪造漏洞,密码明文存储,资源管理,调试程序残留,二次注入,反序列化。
6
API滥用
不安全的数据库调用、随机数创建、内存管理调用、字符串操作,危险的系统方法调用。
7
系统所用开源框架
包含java反序列化漏洞,导致远程代码执行。Spring、Struts2的相关安全。
8
应用代码关注要素
日志伪造漏洞,密码明文存储,资源管理,调试程序残留,二次注入,反序列化。
9
API滥用
不安全的数据库调用、随机数创建、内存管理调用、字符串操作,危险的系统方法调用。
03 服务对象
1
新上线系统
新上线系统对互联网环境的适应性较差,代码审计可以充分挖掘代码中存在的安全缺陷。避免系统刚上线就遇到重大攻击。
2
已运行系统
先于黑客发现系统的安全隐患,提前部署好安全防御措施,保证系统的每个环节在未知环境下都能经得起黑客挑战。
04 客户收益
1
明确安全隐患点
可以从整套源码切入终明确至某个威胁点并加以验证。
2
提高安全意识
有效督促管理人员杜绝任何一处小缺陷,从而降低整体风险。
3
提升开发人员安全技能
通过审计报告,以及安全人员与开发人员的沟通,开发人员更好的完善代码安全开发规范。
— 往期回顾 —
了解如何在照片内增加看不见的信息,隐身术的黑科技!
关键字:隐身术、隐形衣
SA讲述广大安全工作者如何与富得流油的黑产斗智斗勇的故事!
关键字:黑产、诈骗、隐私安全
全新思维,网络安全观的另类视角,保洁都可以秒懂安全哦!
关键字:三维模型、网络安全、通俗说
版权说明!
未经「FlyingCoconut」授权,不得以任何方式加以使用,违者必究;
如需转载,需关注本公众号并留言,请注明公众号名称及ID信息。
End
联系我们
地址:北京东城区首东国际大厦A座10层
电话:010-67369691 13811113202
邮箱:support@sa-tech.cn
1105
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
